Sentinel gestisce costantemente le informazioni e gli eventi relativi alla sicurezza sfruttando l'ambiente IT dell'utente per fornire una soluzione di monitoraggio completa.
Le funzioni di Sentinel sono:
Raccolta di log, eventi e informazioni sulla sicurezza da tutte le diverse origini degli eventi presenti nell'ambiente IT.
Standardizzazione in un unico formato di log, eventi e informazioni sulla sicurezza.
Memorizzazione degli eventi in un datastore basato su file, con policy di permanenza dei dati flessibili e personalizzabili.
Collegamento gerarchico di piĆ¹ sistemi Sentinel, incluso Sentinel Log Manager.
Ricerca di eventi non solo nel server Sentinel locale, ma anche in altri server Sentinel situati in altre parti del mondo.
Analisi statistica per definire una linea di base da mettere a confronto con quanto sta avvenendo allo scopo di stabilire se esistono problemi che non sono stati rilevati.
Correlazione di un gruppo di eventi simili o confrontabili in un determinato periodo al fine di stabilire uno schema.
Organizzazione degli eventi in incidenti ai fini della gestione delle risposte e del controllo.
Rapporti basati sugli eventi in tempo reale e su quelli presenti nella cronologia.
La figura seguente illustra in che modo Sentinel svolge queste funzioni:
Figura 2-1 Architettura di Sentinel
Nelle sezioni seguenti si descrivono dettagliatamente i componenti di Sentinel: